ONTAP S3ユーザーを作成する
変更を提案
PDF
特定の権限を指定してS3ユーザを作成します。許可されたクライアントだけに接続を制限するには、すべてのONTAPオブジェクト ストアでユーザ認証が必要です。
S3対応のStorage VMがすでに存在している必要があります。
S3ユーザにはStorage VM内の任意のバケットへのアクセスを許可できます。S3ユーザを作成すると、そのユーザのアクセス キーとシークレット キーも生成されます。それらとともに、オブジェクト ストアのFQDNとバケット名をユーザと共有する必要があります。
セキュリティ強化のため、ONTAP 9.15.1以降では、アクセスキーとシークレットキーはS3ユーザーの作成時にのみ表示され、再表示はできなくなります。キーを紛失した場合は、"新しいキーを再生成する必要がある"。
バケット ポリシーまたはオブジェクト サーバ ポリシーで、S3ユーザに特定のアクセス権限を付与できます。
|
新しいオブジェクト ストア サーバを作成すると、ONTAPによって、すべてのバケットにアクセスできる権限を持つrootユーザ(UID 0)が作成されます。ONTAP S3をrootユーザとして管理するのではなく、特定の権限を設定したadminユーザ ロールを作成することを推奨します。 |
-
S3 ユーザーを作成します
vserver object-store-server user create -vserver svm_name -user user_name -comment [-comment text] -key-time-to-live time-
コメントの追加は任意です。
-
ONTAP 9.14.1以降では、 `-key-time-to-live`パラメータでキーの有効期間を定義できます。アクセスキーの有効期限を示す保持期間を次の形式で追加できます: `P[<integer>D]T[<integer>H][<integer>M][<integer>S] | P<integer>W`例えば、1日2時間3分4秒の保持期間を入力する場合は、値を `P1DT2H3M4S`と入力します。指定がない限り、キーは無期限に有効です。
以下の例では、ストレージ VM `vs0`上に名前 `sm_user1`のユーザーを作成し、キーの保持期間は 1 週間です。
vserver object-store-server user create -vserver vs0 -user sm_user1 -key-time-to-live P1W
-
-
アクセス キーとシークレット キーは必ず保存してください。これらは、S3クライアントからのアクセスに必要になります。
-
*ストレージ > ストレージVM*をクリックします。ユーザーを追加するストレージVMを選択し、*設定*を選択してから、S3の下の
をクリックします。 -
ユーザーを追加するには、*Users > Add*をクリックします。
-
ユーザの名前を入力します。
-
ONTAP 9.14.1以降では、ユーザ用に作成されるアクセスキーの保持期間を指定できます。保持期間は日、時間、分、または秒で指定でき、この期間を過ぎるとキーは自動的に期限切れになります。デフォルトでは、値は `0`に設定されており、キーが無期限に有効であることを示します。
-
*Save*をクリックします。ユーザーが作成され、ユーザーのアクセスキーとシークレットキーが生成されます。
-
アクセス キーとシークレット キーをダウンロードまたは保存します。これらは、S3クライアントからのアクセスに必要になります。